JSONをvbscriptとして読み込ませるJSONハイジャック(CVE-2013-1297)に注意
はせがわようすけ氏のブログエントリ「機密情報を含むJSONには X-Content-Type-Options: nosniff をつけるべき」にて、巧妙な罠を仕掛けることにより、別ドメインのJSONデータをvbscriptとして読み込み、エラーハンドラ経由で機密情報を盗み出すという手法が紹介されました。これは、IEの脆弱性CVE-2013-1297を悪用したもので、MS13-037にて解消されていますが、MS13-037はIE6~IE8が対象であり、IE9以降では解消されていません。 また、MS13-037を適用いていないIE6~IE8の利用者もしばらく残ると考えられることから、この問題を詳しく説明致します。サイト側の対策の参考にして下さい。 問題の概要 JSON形式のデータは、通常はXMLHttpRequestオブジェクトにより読み出しますが、攻撃者が罠サイトを作成して、vbscript
jQueryで吸収できないIE仕様の備忘録
wiki代わりの備忘録なので編集や加筆の制限なしエントリーです、あしからず。 また、以下はIEに特化することが目的ではなく、W3C勧告のHTML標準なページ作成を目指す中で、標準を理解しない(くせにトップシェアの)IEの仕様を何とか回避するが主題です。 cssテクまで考慮するともっとたくさんになると思いますが、それはデザイナーさんに任せます(笑) . ■ IE互換モード イントラネットでは互換モード優先がIEのデフォルト設定のため、企業イントラネットではIE7の配慮が必要です。ローカルPCでの開発では互換モードを再現できないので注意が必要です。 強制的に互換モードを排除するには、.htaccessに次を記述してHTTPヘッダを出力するか、 Header set X-UA-Compatible "IE=edge" メタタグでページごとに指定します。 <meta http-equiv="X-U
ハタさんのブログ : IEでの「書き込みできません」「アクセスできません」の対処
IEでとあるオブジェクトを操作しようと思った時に「アクセスできません」「書き込みできません」とかいうエラーに遭遇した時のメモ 例えば、windowのlocationを取得して、そのlocationがホゲホゲだったら何かをするっていう処理を書く際に使った以下の式で「書き込みできません」ってエラーになりました。 if(/mylocation/.test(window.location)) // 書き込みできません(アクセスできませんだったかも) 最初、クロスドメインが関係しているのかなーなんて思ったけど、どうやらそのような事は無かった。 そもそも、プロパティに書き込むような処理は書いてないんだけどなー ということで(?)、何でエラーになるのかなーと思ってプロパティの中身を見てみた。 console.log(window.location) // object console.log(typ
CSS3 PIE: CSS3 decorations for IE
PIE makes Internet Explorer 6-9 capable of rendering several of the most useful CSS3 decoration features. Try the Demo This quick demo shows just a few of the CSS3 properties PIE can render. Use the controls to adjust the CSS3 applied to the box. Load this page in IE to see that it is rendered properly!
IE6をクラッシュさせてしまう6つのコード
CatsWhoCode.comのエントリーから、IE6を(最後のはIE7も)クラッシュさせてしまうコードを6つ紹介します。 6 html and javascript codes to crash IE6 <textarea name="code" class="html" cols="60" rows="5"> <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.1//EN" "http://www.w3.org/TR/xhtml11/DTD/xhtml11.dtd"> <html> <head> <title>CRASH-IE</title> <style type="text/css"> html, body{ overflow: hidden; scrollbar-base-color: #330066; } .crash{ position:ab
IT戦記 - 一行で IE の JavaScript を高速化する方法
以下の一行をすべての JavaScript の前に読み込む /*@cc_on _d=document;eval('var document=_d')@*/ この一行を読み込むことによって IE での document へのアクセスが 5 倍速くなります。 たとえば 以下のように、読み込む前と読み込んだ後を比較してみます。 // Before var date = new Date; for (var i = 0; i < 100000; i++) document; alert(new Date - date); // 643 /*@cc_on _d=document;eval('var document=_d')@*/ // After date = new Date; for (var i = 0; i < 100000; i++) document; alert(new Date -
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
https://qiita.com/takashibagura/items/0411259b072da26e206b